Más de 1.300 aplicaciones de Android recopilan datos a pesar de negarles permisos, según la Comisión Federal de Comercio de EEUU

A través de una investigación para la PrivacyCon de la Comisión Federal de Comercio de Estados Unidos (FTC), un grupo de especialistas en ciberseguridad del Instituto Internacional de Ciencias Computacionales (ICSI) se dieron a la tarea de analizar a fondo el comportamiento de más de 88.000 aplicaciones de Android, donde descubrieron que 1.325 aplicaciones recopilaban datos de los usuarios a pesar de haberles negado los permisos explícitamente.

Como sabemos, los permisos que las apps solicitan en Android les permite cierta libertad para moverse por el operativo y poder cumplir sus funciones. Pero hay casos de aplicaciones que buscan abusar de ello, como una app de linterna que solicita permisos para usar la cámara y el micrófono. Pues ahora, gracias a esta investigación, se ha descubierto que en ciertos casos no importa que otorguemos o no permiso, ya que algunas aplicaciones han encontrado la forma de seguir recopilando información privada a pesar de no tener permisos para ello.

En Xataka

Cómo poner contraseña a una app en tu teléfono

Se solucionaría con la llegada de Android Q

De acuerdo a la investigación, son 1.325 aplicaciones las que tienen la capacidad de acceder a los registros telefónicos, a los datos precisos de geolocalización, datos y archivos personales, así como ciertos identificadores del smartphone, algo que harían de forma silenciosa, en segundo planeo, y a pesar de no tener permisos para hacerlo por parte del usuario.

Serge Egelman, director de investigación en seguridad y privacidad en el ICSI, y responsable de la investigación, mencionó:

"Si los desarrolladores de aplicaciones pueden eludir este sistema, entonces pedir permiso a los consumidores no tiene ningún sentido."

Egelman también mencionó que desde septiembre pasado se le notificó a Google y a la FTC de esta vulnerabilidad. Google mencionó que lo resolverían con el lanzamiento de Android Q que se espera que llegue más adelante en este año. De hecho, uno de los temas principales en los que se centró Google cuando presentó Android Q fue la privacidad, así como nuevos controles basados en unos permisos más estrictos, que está relacionado con lo que hoy conocemos como parte de esta investigación.

En la investigación se explica que las aplicaciones que abusan de esta vulnerabilidad se aprovechan de agujeros de seguridad y soluciones ocultas en el código, como conexiones WiFi y los metadatos de las fotos. Por ejemplo, está el caso de Shutterfly, una app para editar fotos, que se descubrió que recopila en todo momento las coordenadas GPS de las fotos y las envía a sus servidores, aun cuando no tenga permiso para acceder al GPS del teléfono.

En Xataka

Muchas novedades en Android Q: por fin tenemos modo oscuro, y además llegan Live Captions, Focus Mode y más privacidad que nunca

Algunas otras aplicaciones aprovechan los permisos de "ver datos personales" para acceder a los archivos no protegidos de la microSD y recabar información adicional a la que se supone no deben tener acceso, según muestra la investigación. Asimismo, se detectó que aplicaciones que sirven como mandos a distancia pueden aprovechar la conexión WiFi para conocer la dirección MAC de router, así como la ubicación y datos que se envían y reciben.

Egelman adelantó que dará a conocer la lista completa de las 1.325 aplicaciones que abusan del sistema de permisos de Android, así como los detalles de las acciones de cada una, el próximo mes de agosto durante la Conferencia de Seguridad de Usenix, donde presentará un nuevo estudio.